AWS SAP-C01 (281-290)

1. 一家公司正在使用现有的编排工具来管理数千个 Amazon EC2 实例。最近的一次渗透测试在该公司的软件堆栈中发现了一个漏洞。该漏洞促使该公司对其当前的生产环境进行全面评估。分析确定环境中存在以下漏洞：

   • 生产中正在使用具有过时库和已知漏洞的操作系统。
   • 由公司托管和管理的关系数据库正在运行具有已知漏洞的不受支持的版本。
   • 存储在数据库中的数据未加密。
     解决方案架构师打算使用 AWS Contig 来持续审计和评估公司的 AWS 资源配置是否符合公司的政策和指南。
     哪些额外的步骤将使公司能够在遵守最佳实践的同时保护其环境和跟踪资源？

   A. 使用 AWS Application Discovery Service 评估所有正在运行的 EC2 实例。使用 AWS CLI 修改每个实例，并在引导期间使用 EC2 用户数据安装 AWS Systems Manager 代理。安排修补以作为 Systems Manager 维护 Windows 任务运行。将所有关系数据库迁移到 Amazon RDS 并启用 AWS KMS 加密。

   B. 为 EC2 实例创建 AWS CloudFormation 模板。使用 CloudFormation 模板中的 EC2 用户数据安装 AWS Systems Manager 代理，并在所有 Amazon EBS 卷上启用 AWS KMS 加密。让 CloudFormation 替换所有正在运行的实例。使用 Systems Manager Patch Manager 建立补丁基准并部署 Systems Manager 维护 Windows 任务以使用补丁基准执行 AWS-RunPatchBaseline。

   C. 使用公司当前的编排工具在所有现有实例上安装 AWS Systems Manager 代理。使用 Systems Manager Run Command 执行命令列表，以使用特定于操作系统的工具升级每个实例上的软件。在所有 Amazon EBS 卷上启用 AWS KMS 加密。

   D. 使用公司当前的编排工具在所有现有实例上安装 AWS Systems Manager 代理。将所有关系数据库迁移到 Amazon RDS 并启用 AWS KMS 加密。使用 Systems Manager Patch Manager 建立补丁基准并部署 Systems Manager 维护 Windows 任务以使用补丁基准执行 AWS-RunPatchBaseline。

   答案：D

2. 一家公司在其本地数据中心运行许多服务。该数据中心使用 AWS Direct Connect(DX) 和 Ipsec VPN 连接到 AWS 服务数据敏感且连接无法穿越互联网 该公司希望扩展为 新的细分市场，并开始向使用 AWS 的其他公司提供其服务。
   哪种解决方案将满足这些要求？

   A.创建一个接受 TCP 流量的 VPC 端点服务，将其托管在网络负载均衡器之后并使该服务通过 DX 可用

   B.创建一个 VPCEndpointServicethatacceptsHTTPorHTTPStraffichost tbehindanApplication Load Balancer ，并使服务通过 DX 可用

   C.在VPC上附加一个Internet网关，并确保网络访问控制和安全组规则允许相关的入站和出站流量

   D.在VPC上附加NAT网关，并确保网络访问控制和安全组规则允许相关的入站和出站流量

   答案：A

3. 一家公司有一个 VPC，其中有两个域控制器在默认配置中运行 Active Directory。 VPC DHCP 选项集配置为使用两个域控制器的 IP 地址。定义了一个 VPC 接口端点；但是 VPC 中的实例无法解析私有端点地址。哪些策略可以解决这个问题？ （选择两项。）

   A. 定义出站 Amazon Route 53 解析器。将 Active Directory 域的条件转发规则设置为 Active Directory 服务器。更新设置为 AmazonProvidedDNS 的 VPC DHCP 选项。

   B. 更新 Active Directory 服务器上的 DNS 服务，将所有非权威查询转发到 VPC 解析器。

   C. 定义入站 Amazon Route 53 解析器。将 Active Directory 域的条件转发规则设置为 Active Directory 服务器。更新设置为 AmazonProvidedDNS 的 VPC DHCP 选项。

   D. 更新客户端实例上的 DNS 服务以拆分 Active Directory 服务器和 VPC 解析器之间的 DNS 查询。

   E. 更新 Active Directory 服务器上的 DNS 服务以将所有查询转发到 VPC 解析器。

   答案：AB

4. 一家健身追踪公司为全球用户提供服务，其主要市场在北美和亚洲。该公司需要为其读取量大的用户授权应用程序设计一个基础架构，并满足以下要求：

   • 对任何区域中的应用程序问题具有弹性
   • 从多个区域写入单个 RegionRead 中的数据库
   • 支持每个区域中跨应用程序层的弹性
   • 支持在应用中体现的关系数据库语义
     解决方案架构师应该采取哪些步骤组合？（选择两项）

   A.使用 Amazon Route 53 geoproximiy outing policy 结合多值应答路由策略

   B.将 web 、应用程序和 MYSQL 数据库服务器部署到每个区域的 Amazon EC2 实例。设置应用程序，以便读取和写入在区域本地创建 Web 应用程序和数据库服务器的快照，并将快照存储在两个区域的 Amazon S3 存储桶中 为数据库层设置跨区域复制

   C. 将 Amazon Route 53 地理定位路由策略与故障转移路由策略结合使用

   D. 为每个区域的 MYSQL 实例设置 web 、应用程序和 Amazon RDS。设置应用程序，以便读取是本地的，写入是基于用户进行分区的。为 Web 应用程序和数据库服务器设置 Multi-az 故障转移。为数据库层设置跨区域复制。

   E. 在每个区域设置主动-主动 Web 和应用程序服务器在每个区域部署一个带有集群的 Amazon Aurora 全局数据库。设置应用程序以使用区域内 Aurora 数据库终端节点。创建 Web 和应用程序服务器的快照，并将它们存储在两个区域的 Amazon S3 存储桶中。

   答案：CE

5. 一家公司计划使用专为 NoSQL 数据库设计的多层 Web 应用程序在 AWS 上托管其电子商务平台。该公司计划使用 us-west-2 区域作为其主要区域。该公司希望确保应用程序和数据的副本在第二个区域 us-west-1 中可用，以进行灾难恢复。该公司希望尽可能缩短故障转移时间。主服务恢复后，应该可以在没有管理交互的情况下故障恢复到主区域。
   解决方案架构师应该使用哪种设计？

   A. 使用 AWS CloudFormation StackSets 在两个区域中为 Web 和应用程序层创建具有 Auto Scaling 组的堆栈。使用 Amazon S3 跨区域复制在区域之间异步复制静态内容。在发生中断时，使用 Amazon Route 53 DNS 故障转移路由策略将用户定向到 us-west-1 中的辅助站点。将 Amazon DynamoDB 全局表用于数据库层。

   B. 使用 AWS CloudFormation StackSets 在两个区域中为 Web 和应用程序层创建具有 Auto Scaling 组的堆栈。使用 Amazon S3 跨区域复制在区域之间异步复制静态内容。使用 Amazon Route 53 DNS 故障转移路由策略在发生中断时将用户定向到我们 west-1 中的辅助站点 为数据库层部署 Amazon Aurora 全局数据库。

   C. 使用 AWS Service Catalog 在两个区域中部署 Web 和应用程序服务器使用 Amazon S3 跨区域复制在两个区域之间异步复制静态内容。使用 Amazon Route 53 运行状况检查来识别主要区域故障，并在发生中断时将公共 DNS 条目列表更新到次要区域。将 Amazon RDS for MySQL 与跨区域复制用于数据库层。

   D. 使用 AWS CloudFormation StackSets 在两个区域中使用 Web 和应用程序层的 Auto Scaling 组创建堆栈。使用 Amazon S3 跨区域复制在区域之间异步复制静态内容。将 Amazon CloudFront 与 Amazon S3 中的静态文件一起使用，并将多区域源用于前端 Web 层。使用每个区域中的 Amazon DynamoDB 表并计划备份到 Amazon S3。

   答案：A

6. 一家公司想要在 AWS 上托管一个全球 Web 应用程序。它有以下设计要求：

   • 访问模式必须允许从多个数据源获取数据
   • 最小化 API 调用的成本
   • 将页面加载时间保持在 50 毫秒以内
   • 提供用户认证和授权，管理不同用户的数据访问
   • 角色（例如，管理员、anager 或工程师）
   • 使用无服务器设计
     解决方案架构师应该使用哪一组策略？

   A. 使用 Amazon Cloudfront 和 Amazon S3 来托管 Web 应用程序。使用 Amazon API Gateway 为自定义授权方构建带有 AWS Lambda 的应用程序 Apls。通过在 Simple AD 中执行用户查找来授权数据访问。

   B. 使用 Amazon Cloudfront 和 AWS WAF 来托管 Web 应用程序。使用 AWS Appsync 构建应用程序 APIS。为每个用户角色使用 LAM 组。通过利用 AWS AppSync 解析器中的 LAMgroup 来授权数据访问

   C. 使用 Amazon Cloudfront 和 Amazon S3 来托管 Web 应用程序。使用 AWS Appsync 构建应用程序 Apls。为每个用户角色使用 Amazon Cognito 组。通过利用 AWS AppSync 解析器中的 Amazon Cognito 组来授权数据访问

   D. 使用 AWS Direct Connect 和 Amazon S3 来托管 Web 应用程序。使用 Amazon API Gateway 构建应用程序 Apls。使用 AWS Lambda 进行自定义身份验证和授权 利用 LAM 角色授权数据访问

   答案：C

7. 一家初创公司最近将一个大型电子商务网站迁移到 AWS，该网站的销售额增长了 70%。软件工程师正在使用私有 Github 存储库来管理代码。devops 团队正在使用 Jenkins 进行构建和单元测试。工程师需要在部署期间收到有关错误构建和零停机时间的通知。工程师还需要确保对用户的任何生产更改都是无缝的，并且可以在出现重大问题时回滚。软件工程师决定使用 AWS Codepipeline 来管理他们的构建和部署过程。
   哪种解决方案将满足这些要求？

   A. 使用 Github websockets 触发 Codepipeline 管道。使用 AWSCodebuild 的 Jenkins 插件进行单元测试。将任何错误构建的警报发送到 Amazon SNS 主题。使用 AWS Codedeploy 就地部署一次部署配置

   B. 使用 Github webhooks 触发 Codepipeline 管道。使用 AWS Codebuild 的 Jenkins 插件进行单元测试。将任何错误构建的警报发送到 Amazon SNS 主题使用 AWS Codedeploy 在蓝/绿部署中部署

   C. 使用 Github websockets 触发 Codepipeline 管道 使用 AWS X-ray 进行单元测试和静态代码分析。将任何错误构建的警报发送到 Amazon SNS 主题 使用 AWS Codedeploy 在蓝/绿部署中部署

   D. 使用 Github webhooks 触发 Codepieline 管道 使用 AWS x Ray 进行单元测试和静态代码分析 将任何错误构建发送到 Amazon SNS 主题。使用 AWS Codedeploy 就地部署、一次性部署配置

   答案：B

8. 一家公司开发了一款手机游戏。游戏的后端在位于本地数据中心的多个虚拟机上运行。业务逻辑使用具有多种功能的 REST API 公开。播放器会话数据存储在中央文件存储中 后端服务使用不同的 API 密钥进行节流并区分实时和测试流量。游戏后台负载一整天都在变，高峰时段服务器容量不足。获取玩家会话数据时也存在延迟问题 管理层要求解决方案架构师提出一种云架构，该架构可以处理不同负载的游戏并提供低延迟数据访问。不应更改 API 模型。
   哪种解决方案满足这些要求？

   A. 使用网络负载均衡器 (NLB) 实施 REST API。在 Amazon Aurora Serverless 中 NLB.Store 播放器会话数据背后的 Amazon EC2 实例上运行业务逻辑。

   B. 使用应用程序负载均衡器 (ALB) 实现 REST API。在具有按需容量的 Amazon Dynamodb 中运行 AWS Lambda Store 播放器会话数据中的业务逻辑

   C. 使用 Amazon AP Gateway 实施 REST API 在具有按需容量的 Amazon Dynamodb 中运行 AWS Lambda Store 播放器会话数据中的业务逻辑。

   D. 使用 AWS Appsync 实现 REST API。在 AWS Lambda 中运行业务逻辑。在 Amazon Aurora Serverless 中存储玩家会话数据

   答案：C

9. 一家公司在 Amazon EC2 实例上托管一个应用程序，需要将文件存储在 Amazon S3 中。这些文件不应遍历公共互联网，并且只有应用程序 EC2 实例被授予访问特定 Amazon S3 存储桶的权限 解决方案架构师创建了一个 VPC 端点用于 Amazon S3 并将终端节点连接到应用程序 VPC 。
   解决方案架构师应该采取哪些额外步骤来满足这些要求？

   A.将端点策略分配给限制访问特定 S3 存储桶的端点 将存储桶策略附加到授予对 VPC 端点的访问权限的 S3 存储桶 将网关前缀列表添加到实例的 NACL 以限制对应用程序 EC2 的访问仅实例

   B. 将存储桶策略附加到 S3 存储桶，仅使用 aws:Source 条件授予对应用程序 EC2 实例的访问权限。更新 VPC 路由表，以便只有应用程序 EC2 实例可以访问 VPC 端点

   C. 为 VPC 端点分配一个端点策略，限制对特定 S3 存储桶的访问 将存储桶策略附加到 S3 存储桶，授予对 VPC 端点的访问权限 将 LAM 角色分配给 plication EC2 实例，并且只允许在S3 存储桶策略。限制访问当前区域中的 S3 的 VPC 端点附加存储桶 poliyto

   D. 将端点策略分配给限制访问当前区域中的 S3 的 VPC 端点。将存储桶策略附加到 S3 存储桶，仅授予对应用程序 EC2 实例的访问权限。将网关前缀列表添加到 NACL 以限制仅访问应用程序 EC2 实例

   答案：C

10. 一家公司正在将其三层 Web 应用程序从本地迁移到 AWS 云。该公司对迁移过程有以下要求：

    • 从本地环境中摄取机器图像。
    • 同步从承诺环境到 AWS 环境的更改，直到生产转换。
    • 在执行生产切换时最大限度地减少停机时间
    • 迁移虚拟机根卷和数据卷
      哪种解决方案能够以最少的运营开销满足这些要求？

    A. 使用 AWS 服务器迁移服务 (SMS) 为应用程序的每一层创建和启动复制作业 从 AWS MS 创建的 AMI 启动实例 初始测试后，执行最终复制并从更新的 AMI 创建新实例。

    B. 创建 AWS CLI VM 导入/导出脚本以迁移每个虚拟机 安排脚本以增量方式运行以维护应用程序中的更改 从 VM 导入/导出创建的 AMI 启动实例。测试完成后，重新运行脚本以执行此操作最终导入并从 AMI 启动实例

    C. 使用 AWS 服务器迁移服务 (SMS) 上传操作系统卷。对数据卷使用 AWS CLI import-snapshot 命令。从 AWS SMS 创建的 AMI 启动实例并将日期卷附加到实例。初始后测试，执行最终复制，从复制的 AMI 启动新实例，并将数据卷附加到实例

    D. 使用 AWS Application Discovery Service 和 AWS Migration Hub 将虚拟机分组为一个应用程序。使用 AWS CLI VM 导入/导出脚本将虚拟机作为 AMI 导入。安排脚本以增量方式运行以维护应用程序中的更改 从 AMI 启动实例。初始测试后，执行最终虚拟机导入并从 AMI 启动新实例

    答案：A